Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Donnerstag, 3. November 2011

Musterverfügung nach § 38 Abs. 5 BDSG

Absender: ULD

Kiel, 3. November 2011

Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG)

Facebook-Reichweitenanalyse; Betreiben einer Fanpage bei Facebook in Ihrem Webauftritt unter https://www.facebook.com/...

(…)

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als zuständige Aufsichtsbehörde für die Einhaltung des Datenschutzes im nicht öffentlichen Bereich (§§ 39 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) in Verbindung mit § 38 Abs. 1 BDSG) ordnet hiermit gemäß § 38 Abs. 5 BDSG an:

1. Die … hat dafür zu sorgen, dass die von ihr betriebene Internetseite unter https://www.facebook.com/... deaktiviert wird.

2. Sollte die … der unter 1. ausgesprochenen Verpflichtung nicht innerhalb von sechs Wochen nach Zustellung dieses Bescheides nachkommen, wird gegen sie ein Zwangsgeld in Höhe von 5.000 Euro verhängt.

Begründung

I.
Nutzungsdaten nach § 15 Telemediengesetz (TMG) (u. a. IP-Adresse, Cookie-IDs, z. B. aus dem Cookie „datr“, Familien- und Vorname, Geburtsdatum) von Nutzern, welche die Internetseite https://www.facebook.com/... aufrufen, werden nach § 15 Abs. 3 Satz 1 TMG für Zwecke der Werbung von Facebook erhoben, ohne dass die … als die nach § 12 Abs. 3 TMG i. V. m. § 3 Abs. 7 BDSG für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle den Nutzer über eine Widerspruchsmöglichkeit unterrichtet. Eine technische Möglichkeit zur Beachtung eines Widerspruchs besteht derzeit nicht, da Facebook hierfür keine technische Möglichkeit bereitstellt, sodass allein deshalb bereits ein Verstoß gegen § 15 Abs. 3 Satz 1 und 2 TMG vorliegt. Die … veranlasst durch das Bereitstellen einer Fanpage, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Fanpagenutzer erstellt. Dadurch bestimmt die … gemeinsam mit Facebook den Zweck und die wesentlichen Mittel der Datenverarbeitung, wodurch sie eine datenschutzrechtliche Verantwortung trägt. Da die … keine technische Möglichkeit zur Einrichtung eines Widerspruchsmechanismus hat, gleichwohl aber eine datenschutzrechtliche Verantwortlichkeit besteht, war anzuordnen, dass die von ihr betriebene Internetseite bzw. Fanpage deaktiviert wird.

Im Einzelnen:

  1. Das Unternehmen Facebook bietet den Dienst „Facebook Insights“ an, bei welchem personenbezogene Nutzungsdaten der Webseitenbesucher von Facebook für Werbezwecke erhoben werden. Facebook erstellt aus den Daten eine Nutzungsstatistik, welche dem Fanpagebetreiber Angaben u. a. dazu liefert, wie viele Personen welchen Alters und Geschlechts in bestimmten zeitlichen Abständen das Angebot des Fanpagebetreibers genutzt haben. Facebook erhält Nutzungsdaten der Webseitenbesucher, wenn Unternehmen sich dazu entscheiden, eine Fanpage zu errichten. Die ... unterhält eine solche Fanpage unter https://www.facebook.com/...
  2. Nach Aufruf der Fanpage unter https://www.facebook.com/... werden im Auftrag der … personenbezogene Nutzungsdaten (u. a. IP-Adresse, Cookie-IDs, z. B. aus dem Cookie „datr“, Familien- und Vorname, Geburtsdatum) der Webseitenbesucher, welche bei Facebook registrierte Mitglieder sind, von Facebook erhoben. Bei der Registrierung waren die Mitglieder gegenüber Facebook verpflichtet, Familienname, Vorname und Geburtsdatum anzugeben. Facebook arbeitet im Rahmen der Profilbildung bei registrierten Nutzern mit Cookies, die die Verknüpfung eines Nutzungsdatums mit dem angemeldeten Facebook-Nutzer ermöglichen. Der Cookie „datr“ ist für zwei Jahre aktiv, sodass auch dann eine namentliche Zuordnung über diesen Zeitraum möglich ist, wenn ein zunächst nicht angemeldeter Nutzer sich innerhalb der Aktivitätszeitraums des Cookies bei Facebook anmeldet. Facebook verarbeitet die gewonnenen Nutzungsdaten zu pseudonymen Nutzungsprofilen. Es liegt in diesem Zusammenhang ein Verstoß gegen § 15 Abs. 3 Satz 3 TMG vor, da Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden dürfen.
  3. Gemäß § 15 Abs. 3 Satz 1 TMG darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat nach § 15 Abs. 3 Satz 2 TMG den Nutzer auf sein Widerspruchsrecht nach § 13 Abs. 1 TMG hinzuweisen. Die … ist durch das Betreiben der Fanpage unter https://www.facebook.com/. zunächst Diensteanbieter nach § 2 Nr. 1 TMG, da sie eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. In diesem Zusammenhang wurde für das Betreiben von Facebook-Webseiten generell entschieden, dass die jeweiligen Betreiber auch der Impressumspflicht nach § 5 TMG unterfallen (LG Aschaffenburg, Urteil v. 19.08.2011, Az.: 2 HK O 54/11).

    Zwar finden sich im TMG Regelungen über die strafrechtliche Verantwortlichkeit und die Schadensersatzhaftung. Die datenschutzrechtliche Verantwortung der Diensteanbieter nach dem TMG richtet sich hingegen nach § 3 Abs. 7 BDSG (Weichert, in: Däubler/Klebe/Wedde/Weichert, Kommentar zum BDSG, 3. Aufl. 2010, § 1 RN 57). Gemäß § 3 Abs. 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die Regelung setzt Art. 2 d) der Richtlinie 95/46/EG um, wonach für die Verarbeitung Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die … entscheidet gemeinsam mit Facebook über die Zwecke und Mittel der Datenverarbeitung und begründet dadurch eine eigene datenschutzrechtliche Verantwortlichkeit:
    1. Zwar erlangt die … nach den vorliegenden Informationen keine technische Verfügungsmacht über die erhobenen Nutzungsdaten. Allerdings steht dies der datenschutzrechtlichen Verantwortlichkeit nicht entgegen, denn es ist unerheblich, ob der Diensteanbieter über einen eigenen Server verfügt oder Dienstleistungen Dritter in Anspruch nimmt. Die … betreibt die Fanpage unter https://www.facebook.com/... eigenverantwortlich. Facebook stellt für die Errichtung der Fanpage die technische Infrastruktur bereit und generiert aus den erhobenen Nutzungsdaten über die Art und den Umfang der Nutzung der Fanpage eine Nutzungsstatistik. Diese wird, soweit es sich um bei Facebook angemeldete Nutzer handelt, mit demografischen Angaben wie Alter, Geschlecht und Herkunft des jeweiligen Besuchers der Seite angereichert und als aggregierter und damit anonymer Nutzungsreport an die … bereit gestellt. Daher geht mit der Erstellung der Fanpage auch die Beauftragung einer Nutzungsanalyse, wie sie in § 15 Abs. 3 TMG geregelt ist, einher.
    2. Die … bestimmt bei der Verarbeitung der Nutzungsdaten ebenso wie Facebook den Zweck, dass eine Bindung der Internetnutzer erfolgt, Webtraffic ausgelöst wird und dass Facebook Nutzungsdaten erhält, damit Werbung geschaltet und verkauft werden kann, sodass der Betrieb Ihrer Fanpage unentgeltlich zur Verfügung gestellt werden kann. Mit der Errichtung dieser Internetseite bestimmt die … auch die wesentlichen Mittel der Datenverarbeitung. Tatsächlich würde Facebook nicht die Nutzungsdaten der Fanpage erhalten, wenn diese nicht zuvor von der … eingerichtet worden wäre. Umgekehrt wäre es der … nicht möglich, Ihre Seite im Facebook-Netzwerk zu nutzen, wenn dieses nicht von Facebook bereitgestellt würde. Auch die Informationen über den Umfang und die Art der Nutzung der eingerichteten Fanpage stünde weder Facebook noch der … zur Verfügung. Zwar werden die technischen Mittel von Facebook vorgegeben; diese Vorgabe hat sich die … jedoch vollständig zu eigen gemacht. Die Zwecke der Datenverarbeitungen werden gemeinsam verfolgt und bedingen sich gegenseitig.

      Vor diesem Hintergrund muss die … als Diensteanbieter nach § 15 Abs. 3 Satz 2 TMG dafür Sorge tragen, dass die Webseitenbesucher nach § 13 Abs. 1 TMG über ihr Widerspruchsrecht unterrichtet werden und dass im Falle eines Widerspruchs nach Maßgabe von § 15 Abs. 3 Satz 1 TMG die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien durch Facebook unterbleibt. In der von Facebook zum Betrieb der Fanpage bereit gestellten Infrastruktur besteht jedoch für die … keine technische Möglichkeit zur Einrichtung eines Widerspruchsmechanismus. Diese technische Möglichkeit könnte Facebook eröffnen. Das Unternehmen Facebook hat jedoch in den mit dem ULD geführten Gesprächen bisher nicht zum Ausdruck gebracht, einen Widerspruchsmechanismus einrichten zu wollen. Diese Umstände muss sich die … als für die Datenverarbeitung verantwortliche Stelle zurechnen lassen.
  4. Die angeordnete Maßnahme ist geeignet. Sie bezweckt den Schutz des Rechts auf informationelle Selbstbestimmung von Fanpagebesuchern, die keine Kenntnis davon haben, auf welche Art, in welchem Umfang und für welche Zwecke Facebook ihre personenbezogenen Nutzungsdaten verarbeitet. Es fehlt an einer Unterrichtung nach § 13 Abs. 1 TMG. Die Maßnahme bezweckt ferner den Schutz des Rechts auf informationelle Selbstbestimmung der Fanpagebesucher, die nicht über ein Widerspruchsrecht nach § 15 Abs. 3 Satz 2 TMG unterrichtet werden und für die unabhängig davon keine Möglichkeit eingerichtet wurde, einer Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung und der bedarfsgerechten Gestaltung von Telemedien zu widersprechen. Sie schützt den Fanpagebesucher schließlich davor, dass Facebook die Nutzungsprofile entgegen § 15 Abs. 3 Satz 3 TMG mit den Daten über den Träger des Pseudonyms zusammenführt.

    Die angeordnete Maßnahme ist auch erforderlich. Im Rahmen der rechtlich zulässigen Anordnungen ist kein milderes Mittel ersichtlich, welches einen gleichwertigen Schutz bewirken könnte.

    Die angeordnete Maßnahme ist auch angemessen. Sie greift nur insoweit in die Rechte des Adressaten der Anordnung ein, wie dies für das angestrebte Ziel unerlässlich ist. Da Facebook in den Gesprächen mit dem ULD, im Rahmen der Anhörungen im Schleswig-Holsteinischen Landtag und im Bundestag sowie im Gespräch mit dem Bundesinnenminister keine Lösungen zur Einrichtung eines Widerspruchsmechanismus angeboten hat, besteht für die … selbst bei etwaigen Widersprüchen von Fanpagebesuchern gegen die Erstellung von Nutzungsprofilen keine Möglichkeit, eine solche Datenverarbeitung durch Facebook für die Zukunft auszuschließen. Die Fanpage kann unter https://www.facebook.com/... derzeit nicht gesetzeskonform betrieben werden. Als einziges Mittel zur Beseitigung des Verstoßes gegen § 15 Abs. 3 TMG kommt daher nur die Deaktivierung der Fanpage in Betracht.
     

II.
Gemäß § 235 Abs. 1 Nr. 1, 236, 237 Abs. 1 LVwG i.V.m. § 38 Abs. 5 Satz 1 und 2 BDSG ist die Androhung von Zwangsgeld zulässig, wenn der Pflichtige angehalten werden soll, eine Handlung vorzunehmen. Andere Zwangsmittel scheiden aus, da sie nicht geeignet sind, den mit der Anordnung angestrebten Erfolg zu bewirken. Die Höhe des angedrohten Zwangsgeldes ist auch verhältnismäßig. Die unzulässige Erstellung von Nutzungsprofilen für Zwecke der Werbung durch Facebook betrifft ausweislich der Angaben auf der Fanpage derzeit über … Webseitenbesucher, die keinen Widerspruch gegen die Datenverarbeitung einlegen können. Die Erstellung der Nutzungsprofile führt auch zu einer Beeinträchtigung der Rechte der Fanpagebesucher, da diese nicht selbstbestimmt über die Verarbeitung ihrer personenbezogenen Daten entscheiden können. Das angedrohte Zwangsgeld ist geeignet, den Adressaten der Anordnung dazu anzuhalten, die angeordnete Deaktivierung der Fanpage fristgerecht vorzunehmen. In Anbetracht der unmittelbar bevorstehenden Gefährdung des Rechts auf informationelle Selbstbestimmung von weiteren Fanpagebesuchern, die für die Zukunft die Fanpage der … aufrufen und bezüglich der bereits erfassten Fanpagebesucher ist die Höhe des Zwangsgeldes auch erforderlich und angemessen.

Rechtsbehelfsbelehrung

Gegen diese Anordnung kann innerhalb eines Monats nach Bekanntgabe Widerspruch beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel, erhoben werden. Der Widerspruch ist schriftlich oder zur Niederschrift einzulegen.

Zusätzlich weise ich Sie darauf hin, dass die Zuwiderhandlung gegen eine vollziehbare Anordnung nach § 38 Abs. 5 Satz 1 BDSG gemäß § 43 Abs. 1 Nr. 11, Abs. 3 Satz 1 BDSG mit einem Bußgeld in Höhe von bis zu 50.000 Euro belegt werden kann.

(…)